Unix和Linux实现了对所有文件系统资源的自主访问控制，不仅包括文件和目录，也包括设备、进程、内存等大多数系统资源。对每一个资源，每个用户、组和其他人的访问权限都可以指定为读、写或执行。这可以通过chmod命令来设置。一些系统也支持带有访问控制列表的扩展文件属性，来提供更加灵活的访问控制。在访问控制列表中，可以为每个用户和组指定读、写或执行权限。这些扩展的访问权限通常使用getfacl和setfacl命令来设置和显示。这些命令也可用来指定用户和组对资源的访问权限。

通常，用户账户和组成员的相关信息保存在/etc/passwd和/etc/group文件中。现代操作系统也可以通过LDAP或NIS等工具从外部存储库中导入这些信息。这些信息的来源，以及任何相关联的认证证书，是在可插拔认证模块PAM（Pluggable Authentication Module）配置中指定的，通常使用/etc/pam.d目录中的文本文件来指定。

为了分开对系统中信息和资源的访问，用户需要被分配到合适的组，以便赋予他们任何需要的访问权限。组的数量和分配应该在系统安全规划过程中确定，随后配置到合适的信息库中—— 或者使用本地的/etc目录中的文件，或者在某些集中式数据库中。此时，任何默认的或系统提供的通用账户都应该被检查，如果不需要就删除掉。其他需要但不必登录的账户，应该禁用其登录权限，相关联的口令或认证证书也要删除掉。(www.daowen.com)

加固Unix和Linux系统的指南，通常也建议更改对关键目录和文件的访问权限，以进一步限制对它们的访问。那些能把普通用户设置为超级用户（Root）或把普通组设置为特权组的程序是攻击者的主要目标。不过，无论谁执行这类程序，都需要有超级用户权限，或者需要访问属于特权组的资源。这类程序的软件漏洞很容易被攻击者利用，用来提升其权限。这被称为本地利用漏洞。网络服务器上的能够被远程攻击者触发的软件漏洞，称为远程利用漏洞。

普遍认为，能够设置超级用户权限的程序应该尽可能少。但是不能没有，因为访问系统中的某些资源需要超级用户权限。管理用户登录的程序，以及将网络服务绑定到特权端口上的程序，就是需要超级用户权限的例子。但是，其他为了程序员编程方便而使用Setuid更改到Root权限程序，完全可以通过Setgid将其更改到可以访问某些资源的特权组，如显示系统状态或递交邮件的程序。系统加固指南可能会建议，如果特定系统并不需要这类程序，可以修改甚至删除它们。